Czym są dane osobowe? Kto odpowiada za ich ochronę i dlaczego jest ona taka ważna? Na te i inne pytania odpowiedzi znajdziecie w poniższym poradniku przygotowanym przez Beatę Marek. Polecamy!
fot. Fotolia
Czym są dane osobowe?
Praktycznie niezależnie od rodzaju startupu i obszaru prowadzonej działalności każdy przedsiębiorca przetwarza dane osobowe. Najczęściej klientów lub/i własnych pracowników. Dane te podlegają ochronie prawnej co pociąga za sobą określone skutki. Najprościej mówiąc, jeśli jesteś szefem swojego startupu, to ciąży na Tobie obowiązek przestrzegania przepisów dotyczących ochrony danych osobowych. Z punktu widzenia polskiego przedsiębiorcy co najmniej dwa rodzaje aktów prawnych powinny być Tobie znane:
- ustawa z dnia 29 sierpnia 1997 r o ochronie danych osobowych (t.j. Dz. U. 2002 r. Nr 101 poz. 926, dalej jako uodo);
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. 2004 nr 100 poz. 1024, dalej jako Rozporządzenie).
Zgodnie z art. 6 uodo za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Jeśli po przeczytaniu powyższej definicji masz mętlik w głowie co do tego kiedy dane stają się informacją o osobie fizycznej, a kiedy wymagałoby to nadmiernych kosztów to zaraz ten problem rozwiążemy. Być może zastanawiasz się dlaczego nie utworzono katalogu zamkniętego i ustawodawca nie określił wprost, że dane osobowe to np. imię, nazwisko, adres e-mail zawierający imię i nazwisko, nr telefonu itp. Otóż nie jest to takie proste.
To co dla jednego podmiotu jest daną osobową co do zasady dla drugiego podmiotu nie musi nią być. Przykładowo nr IP użytkownika odwiedzającego stronę internetową Twojego startupu będzie daną osobową dla operatora/dostawcy usług internetowych/menedżera lokalnej sieci (te podmioty mogą bowiem przypisać do danego nr IP określonego usługodawcę), a dla Ciebie co do zasady nie. Zwłaszcza jeżeli owy nr IP będzie niepełny. Jednakże jeżeli użytkownik np. zarejestruje się podając jako login adres e-mail „jan.kowalski@…” to nr IP będzie stanowił danę osobową. Dlaczego? Aby odpowiedzieć na to pytanie musimy przyjrzeć się danym, które posiadamy oraz informacjom, które z tych danych możemy odczytać. To właśnie w taki sposób należy podchodzić do szacowania czy i jakiego rodzaju dane osobowe posiadamy. Zatem wracając do przykładu widzimy, że posiadamy następujące informacje: Jan Kowalski o nr IP sieci XX.XXX.XXX.XX zlokalizowanym na terenie miasta Y zalogował się w naszym serwisie (być może rejestrujemy także jakie strony przeglądał). Nr IP stał się daną osobową dlatego, że w połączeniu z innymi informacjami (imię i nazwisko) możemy przypisać go do osoby, która korzysta z sieci danego dostawcy. Dodatkowo bez trudu możemy sprawdzić geolokalizację.
Dane osobowe dotyczą tylko osób fizycznych, czyli każdej osoby od chwili narodzin aż do śmierci. Na potrzeby prowadzenia Twojej działalności warto pamiętać, że ochrona danych osobowych nie dotyczy osób zmarłych co jednak nie wyklucza ochrony na gruncie innych przepisów, np. prawa do ochrony wizerunku. Dane osobowe mogą być jednocześnie szczególnego rodzaju dobrami osobistymi.
W praktyce w obrębie Twojej firmy będzie przetwarzanych wiele danych osobowych, które będą wchodzić w skład różnych zbiorów danych (zestaw danych, który posiada strukturę o charakterze osobowym i jest dostępny wg określonych kryteriów). Zbiory te potocznie nazywane są bazami danych (np. baza teleadresowa klientów – osób fizycznych).
Kto odpowiada za ich ochronę?
Osobą odpowiedzialną za należytą ochronę danych osobowych jest Administrator Danych Osobowych, czyli organ/jednostka organizacyjna/podmiot/osoba decydująca o celach i środkach przetwarzania danych osobowych. Możesz nim być Ty (jeżeli prowadzisz działalność jednoosobowo), a może nim być np. spółka, w której organach zasiadasz. Ustalenie kto jest Administratorem Danych ma kluczowe znaczenie dla stwierdzenia czy należy obligatoryjnie wyznaczyć Administratora Bezpieczeństwa Informacji. Zgodnie z art. 36 ust.1 uodo Administrator Danych jest obowiązany: zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną (Polityka Bezpieczeństwa i Instrukcja Zarządzania Systemem Informatycznym), a w szczególności powinien zabezpieczyć dane przed:
- ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną;
- przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą;
- uszkodzeniem lub zniszczeniem.
Zgodnie z art. 36 ust.3 Administrator Danych wyznacza Administratora Bezpieczeństwa Informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności. Jak podkreślił Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 5 lipca 2012r. (sygn. akt. II SA/Wa 630/12) jeżeli „struktura organizacyjna administratora danych jest wieloosobowa powinien on w ramach tej struktury wyznaczyć osobę fizyczną odpowiedzialną za wykonywanie czynności nadzorczych, powierzając jej obowiązki administratora bezpieczeństwa informacji, i to niezależnie od tego, czy administrator danych jest organem, jednostką organizacyjną, podmiotem czy osobą prawną”. Zatem jeżeli nie prowadzisz działalności jako osoba fizyczna ciąży na Tobie obowiązek wyznaczenia Administratora Bezpieczeństwa.
Dlaczego ochrona danych osobowych jest taka ważna?
Dane osobowe to informacje. Zaryzykuję stwierdzenie, że informacje są najcenniejsze dla każdego przedsiębiorcy. Dlaczego? Dlatego, że bez nich żaden biznes nie ma racji bytu. Informacje dotyczą różnych sfer, najczęściej know-how (np. strategii rozwoju startupu), ale mogą być to także dane osobowe, które są objęte szczególnym reżimem prawnym i stanowią:
- tajemnicę przedsiębiorstwa (np. zbiór kontrahentów);
- tajemnicę zawodową (np. tajemnica dziennikarska);
- tajemnicę służbową;
- tajemnicę telekomunikacyjną;
- tajemnicę państwową.
Jeżeli Twój startup polega na dostarczeniu oprogramowania określonej grupie podmiotów to powinieneś już na etapie jego tworzenia uwzględnić specyfikę branży, do której owy produkt kierujesz oraz stosować zasady privacy by design lub/i privacy by default. Jeżeli Twój startup polega na dostarczeniu programu (np. aplikacji mobilnej) dla wszystkich, to także już na etapie projektowania powinieneś stosować wskazane przeze mnie powyżej zasady. Dlaczego? Dlatego, że przetwarzanie danych osobowych (jakiekolwiek operacje wykonywane na tych danych) łączy się z szerszym zagadnieniem jakim jest ochrona prywatności.
Privacy by design, czyli uwzględnianie ochrony prywatności w fazie projektowania, to zestaw 7 zasad, które zostały opracowane w latach 90-tych XX w. przez kanadyjską Rzecznik Ochrony Informacji i Prywatności Ann Cavoukian. Koncepcja privacy by deisgn jest wdrażana jako dobre praktyki rekomendowane przez Rzeczników Ochrony Danych i Prywatności. Zyskała ona także aprobatę Komisji Europejskiej co znalazło swoje odzwierciedlenie w propozycji jednolitego rozporządzenia unijnego dotyczącego ochrony danych osobowych (ogłoszone 25.01.2012r.). Oznacza to zatem, że privacy by deisgn może zostać uznane za prawnie obowiązujące w całej Unii Europejskiej, a jego wdrożenie będzie już nie tylko dobrą praktyką, ale stanie się obowiązkiem.
Privacy by defualt określana jako prywatność w ustawieniach domyślnych jest najczęściej kojarzona z tzw. podejściem DNT (ang. Do Not Track). W dobie rozwoju technologii informacyjnych i różnego rodzaju serwisów koncepcja ta zyskała na znaczeniu. Wspomniany przeze mnie projekt rozporządzenia odnosi się także do uregulowania prawnego privacy by deafult.
Zapewnienie ochrony danych osobowych, czyli informacji o osobach, które przetwarzasz jest bardzo ważne dla Ciebie nie tylko poprzez pryzmat obowiązków prawnych, które na Tobie ciążą, ale także z punktu widzenia Twojej konkurencyjności i potrzeb klienta.
Druga część poradnika pojawi się w piątek.
Beata Marek, IT&IP Lawyer, cyberlaw.pl
Beata specjalizuje się w prawie nowych technologii ze szczególnym uwzględnieniem prawa własności intelektualnej, ochrony danych osobowych oraz prawa kontraktowego. Od 4 lat zajmuje się problematyką cyberprzestepczosci, cyberzagrożeń oraz bezpieczeństwem informacji. Aktywnie działa w ISSA Polska – Stowarzyszeniu do spraw Bezpieczeństwa Systemów Informacyjnych, Cloud Security Alliance Polska, International Cyber Threat Task Force, a także w Fundacji Bezpieczna Cyberprzestrzeń. Redaktor Naczelna kwartalnika naukowego „Przegląd Prawa Technologii Informacyjnych. ICT Law Review”.